Соглашение о поручении обработки персональных данных Настоящее Соглашение о поручении обработки персональных данных (далее — Соглашение) является неотъемлемой частью Лицензионного соглашения о предоставлении права использования программных продуктов (далее — Договор), заключаемого между Лицензиаром и Пользователем в терминологии Договора, размещенного в сети Интернет по адресу: https://smartceilings.ru/license. Все термины и определения в Соглашении толкуются в соответствии с Договором, действующим законодательством Российской Федерации. 1. Пользователь, являющийся, согласно Федеральному закону Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее «Закон»), оператором персональных данных, поручает Лицензиару обработку персональных данных в случаях, допускаемых Условиями использования Программных продуктов по Договору. 2. Лицензиар является лицом, обрабатывающим персональные данные по поручению Пользователя. 3. Цель обработки персональных данных по поручению: осуществление авторизации в Программном продукте, использование программы по функциональному назначению. 4. Действия (операции) с персональными данными, которые могут совершаться по поручению: Запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; передача (предоставление, доступ); использование; блокирование; обезличивание; удаление, уничтожение. 5. Перечень персональных данных, полученных на обработку приведен в приложении №1 к Соглашению. 5.1. Пользователь гарантирует, что передаваемые им персональные данные были получены в установленном Законом порядке с соблюдением всех процедур получения согласий или имеет иные правовые основания обработки персональных данных субъектов персональных данных. 6. Меры по соблюдению требований законодательства 6.1. Обрабатывая персональные данные по поручению Пользователя, Лицензиар обязан придерживаться принципов, закрепленных в ст. 5 Закона, соблюдать конфиденциальность персональных данных и обеспечивать их безопасность. 6.2. Лицензиар при обработке персональных данных по поручению Пользователя обязан принимать меры, необходимые и достаточные для выполнения обязанностей, предусмотренных законодательством Российской Федерации, предусмотренные ст. 18.1 Закона: 6.2.1. назначить ответственного за организацию обработки персональных данных; 6.2.2. издать документы, определяющие политику в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных в соответствии с п. 2 ч. 1 ст. 18.1 Закона; 6.2.3. осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Лицензиара в отношении обработки персональных данных, локальным актам Лицензиара; 6.2.4. проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, а также оценивать соотношение указанного вреда и принимаемых Лицензиаром мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом; 6.2.5. ознакомить работников Лицензиара, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Лицензиара в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) провести обучение указанных работников. 6.3. В случае обращения к Лицензиару субъекта персональных данных с запросом на получение информации, касающейся обработки его персональных данных, обрабатываемых Лицензиаром, Лицензиар обязан информировать о полученном запросе Пользователя. Обязанность по предоставлению сведений по запросу субъекта персональных данных на получение информации, касающейся обработки его персональных данных в рамках настоящего Соглашения, возлагается на Пользователя. 7. Требования к защите персональных данных 7.1. Лицензиар обязан выполнять требования к защите обрабатываемых персональных данных согласно ст. 19 Закона: 7.1.1. определить угрозы безопасности персональных данных, порученных на обработку, если они будут обрабатываться в информационных системах персональных данных Лицензиара; 7.1.2. в случае, если порученные на обработку персональные данные обрабатываются Лицензиаром в информационных системах персональных данных, необходимо определить уровень защищенности персональных данных при их обработке в информационных системах персональных данных и выполнять требования, установленные в Постановлении Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; 7.1.3. оценивать возможный вред субъекту персональных данных при обработке его персональных данных, которые были поручены на обработку, в случае реализации угроз безопасности персональных данных; 7.1.4. обнаруживать факты несанкционированного доступа к персональным данным, порученным на обработку, и принимать, в связи с этим необходимые меры; 7.1.5. восстанавливать персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним; 7.1.6. устанавливать правила доступа к персональным данным, которые поручены на обработку и обрабатываются в информационных системах персональных данных Лицензиара, а также обеспечить регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных; 7.1.7. осуществлять контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных, в которых обрабатываются порученные на обработку персональные данные. 8. Подтверждение соблюдения Лицензиаром обязанностей, установленных в Соглашении 8.1. В течение всего срока действия данного Соглашения Пользователь вправе запросить, а Лицензиар обязан предоставить в течение 10 (десяти) рабочих дней с момента получения запроса от Пользователя информацию (включая документы), подтверждающую принятие мер и соблюдение в целях исполнения поручения Пользователя требований, установленных данным Соглашением и законодательством Российской Федерации. 8.2. Электронный адрес Лицензиара для получения запросов:info@smartceilings.ru. 9. Уведомление об инциденте безопасности 9.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Лицензиар обязан с момента выявления такого инцидента уведомить Пользователя по адресу электронной почты, указываемому Пользователем при регистрации в Личном кабинете: 9.1.1. без неоправданной задержки, 9.1.2. о произошедшем инциденте, включая перечень персональных данных, категории субъектов персональных данных, количество субъектов персональных данных, затронутых инцидентом, 9.1.3. о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, 9.1.4. о предполагаемом вреде, нанесенном правам субъектов персональных данных, 9.1.5. о принятых мерах по устранению последствий соответствующего инцидента, 9.1.6. о лице, уполномоченном Лицензиаром на реагирование и расследованию инцидента; 9.1.7. в течение 48 (сорока восьми) часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии). 10. Уничтожение персональных данных 10.1. Лицензиар по запросу Пользователя должен уничтожить определенные Пользователем или все персональные данные, которые были поручены ему на обработку, в течение 15 (пятнадцати) календарных дней с момента получения запроса, если обработка их не требуется согласно законодательству Российской Федерации. Заказчик направляет соответствующий запрос на адрес электронной почты Лицензиара, указанный в Соглашении. 10.2. Заказчик вправе в течение всего срока действия настоящего Соглашения запрашивать у Лицензиара подтверждения уничтожения персональных данных, переданных ему на обработку. Такое подтверждение должно быть предоставлено не позднее 5 (пяти) рабочих дней с даты получения соответствующего запроса Пользователя на адрес электронной почты Лицензиара, указанный в Соглашения. 10.3. В случае отсутствия возможности уничтожения персональных данных в течение 15 (пятнадцати) календарных дней с момента поступления запроса от Пользователя Лицензиар осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок, не превышающий 6 (шесть) месяцев. О факте блокирования Лицензиар сообщает Пользователю на адрес электронной почты, указанный в Соглашении, в срок, не превышающий 15 (пятнадцать) календарных дней с момента поступления запроса от Пользователя. 10.4. В случае невозможности уничтожить персональные данные по запросу Пользователя в связи с необходимостью их обработки, связанной с исполнением требований законодательства Российской Федерации, Лицензиар направляет мотивированное обоснование о невозможности уничтожения или блокировки персональных данных Пользователю на адрес электронной почты, указанный в п. 12 Соглашения, в срок, не превышающий 15 (пятнадцать) календарных дней с момента поступления запроса от Пользователя получения запроса. 11. Ответственность Сторон 11.1. Согласно ч. 5 ст. 6 Закона ответственность перед субъектами персональных данных, чьи персональные данные обрабатываются Лицензиаром по поручению Пользователя, Пользователь несет самостоятельно, а Лицензиар, осуществляющий обработку персональных данных по поручению Пользователя, несет ответственность перед Пользователем. 11.2. При выявлении нарушения Лицензиаром обязанностей, предусмотренных Соглашением и/или применимым законодательством, Пользователь вправе потребовать от Лицензиара возмещения причиненных таким нарушением документально подтвержденных убытков в соответствии с законодательством РФ. 12. Регулирование споров и срок действия Соглашения 12.1. Во всем остальном, не урегулированном положениями настоящего Соглашения, Стороны руководствуются положениями действующего законодательства Российской Федерации. 12.2. Споры и разногласия, возникающие в ходе заключения и/или исполнения обязательств по настоящему Соглашению, подлежат урегулированию путем переговоров. В случае недостижения согласия споры разрешаются в порядке, установленном Договором. 12.3. Настоящее Соглашение является неотъемлемой частью Договора и вступает в силу с момента действия Договора. Приложение №1 к Соглашению о поручении обработки персональных данных Перечень персональных данных, обрабатываемых Лицензиаром в рамках Соглашения ● Фамилия, Имя, Отчетство ● ИНН физического лица ● Должность ● Дата рождения ● Название компании ● ОГРН Индивидуального предпринимателя ● Номер телефона ● Платежные реквизиты физических лиц и индивидуальных предпринимателей |